Datenschutzgrundverordnung: DSGVO-Panik in Deutschland
erschienen in der Kategorie Alltag, am 18.05.2018
Ich weiß nicht, ob's nur mir so geht, aber ich habe aktuell das Gefühl, ganz Deutschland dreht gerade wegen der Datenschutzgrundverordnung durch.
Ja, es ändert sich einiges und ja, das heißt, dass man seine Datenschutzerklärungen anpassen muss. Aber die Auswüchse, die das Thema angenommen hat, sind schon ein bisschen perfide. Und während die Juristen hierzulande wohl gerade so viel arbeiten wie seit Jahren nicht mehr und sich damit zum Teil auch eine goldene Nase verdienen, rennen viele Internetseitenbetreiber aus Angst etwas falsch zu machen, mit vollem Tempo in die Fallstricke, die die DSGVO mit sich bringt.
Das Tückische an der Datenschutzgrundverordnung ist, dass sie in vielen Punkten schwammig formuliert ist und niemand weiß, wie man diese Punkte in der Praxis konkret und korrekt umzusetzen hat. Viele Textpassagen sind schwierig zu verstehen und in den nächsten Jahren werden wohl erst einmal unzählige Gerichte damit beschäftigt sein, herauszustellen, was richtige und was falsche Umsetzungen der Verordnung sind.
Infolge dieser Unklarheit meint natürlich gerade jeder Jurist, es nach seiner Interpretation richtig zu machen, vollkommen ungeachtet der Tatsache, dass es der Anwalt auf der anderen Straßenseite ganz anders sieht. So sind mir in den letzten Wochen die gegensätzlichsten Datenschutzerklärungen untergekommen und bei fast allem, was man liest, hat man dennoch den Eindruck, es wäre irgendwie DSGVO-konform. Manchen, wegen der Angst vor drohenden Abmahnungen, plötzlich für das Thema Datenschutz sensiblen Webseitenbetreiber treibt das wohl in den Wahnsinn. Es fehlt schlicht die Antwort auf die Frage, was denn nun richtig und was falsch ist.
Ich will mal kurz auf die drei nervigsten DSGVO-Themen eingehen, über die ich in den letzten Monaten so diskutiert habe. Ich bin natürlich nur ein einfacher Informatiker und kein Jurist und kann daher auch nur mein gefährliches Halbwissen und meine eigenen Ansichten wiedergeben, aber ich hoffe einfach mal, dass die dennoch für den einen oder anderen Leser interessant oder wenigstens unterhaltsam sind.
So ganz richtig ist das aber nicht. In den Artikeln 83 und 84 der DSGVO sind die Sanktionen geregelt, die bei Verstößen verhängt werden können. Die strafrechtlichen Konsequenzen müssen die Mitgliedsstaaten der EU darüber hinaus in ihren eigenen Gesetzgebungen regeln. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorherigen Geschäftsjahr, je nachdem, welcher Wert höher ist.
Laut Artikel 84 DSGVO sollen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Letzteres hat man offensichtlich schon mal gut hinbekommen.
Wer nur diese Informationen verbreitet, unterschlägt dabei aber, dass in vielen Fällen gar nicht dieses Strafmaß greift, sondern die in Artikel 83 Abs. 4 genannten 2% des vorjährlichen Jahresumsatzes bzw. 10.000.000 Euro.
Zugegeben, das klingt jetzt nicht so wirklich weniger angsteinflößend, aber auch die im bisherigen Bundesdatenschutzgesetz genannten Strafen von bis zu 300.000 Euro waren ja nicht ohne. Die hatte nur irgendwie niemand auf dem Schirm.
Die DSGVO sieht vor, dass bei Verstößen Strafen verhängt werden müssen und unterscheidet sich in diesem Punkt von den alten Regelungen im Bundesdatenschutzgesetz. Die genannten Beträge sind aber Höchstsummen und wie hoch verhängte Strafen am Ende in der Realität ausfallen, ist Sache der Aufsichtsbehörden.
Natürlich muss man den Datenschutz ernst nehmen und sollte vermeiden, überhaupt Strafen zahlen zu müssen. Wenn es aber wirklich zu Strafzahlungen kommt, ist doch davon auszugehen, dass diese verhältnismäßig sein werden. Anders als die USA ist Deutschland nicht dafür bekannt, Bußgelder in Millionenhöhe zu verhängen, wenn diese weit über das Vermögen des Beschuldigten hinaus gehen. Auch wenn es manchmal schwerfällt, man sollte schon noch ein bisschen Vertrauen in den deutschen Rechtsstaat haben.
Ein Verweis auf die Datenschutzerklärung – von mir aus –, aber eine Checkbox? Das ist doch Blödsinn. Wer ein Kontaktformular ausfüllt, will Kontakt. Wer mir eine Nachricht schreibt, weiß doch, warum er mir gerade eine Nachricht schreibt. Dass ich seine Nachricht verarbeiten werde, erschließt sich aus der Handlung selbst. Dafür braucht man keine Checkbox. Und viele Juristen sehen das übrigens genauso. Der IT-Fachanwalt und Podcaster Stephan Hansen-Oest nennt das Einbinden von Checkboxen in Kontaktformulare sogar "Bullshit".
Wer stattdessen einfach nur darauf hinweist, dass die Datenschutzerklärung gilt, ohne sie sich bestätigen zu lassen, hat später weit weniger Ärger und Stress.
Sicher gibt es einige Sonderfälle, bei denen eine explizite Einwilligung unbedingt erforderlich ist, aber bei den meisten Datenschutzerklärungen wird das wohl eher unnötig sein. Also pflastert das Internet jetzt nicht unnötig mit Checkboxen zu, die euch auf ewig zusätzliche Vertragsbedingungen ans Bein nageln!
Diese Beispiele zeigen, wie die Panik vor der Datenschutzgrundverordnung erst dafür sorgt, dass noch mehr Probleme entstehen. Ich glaube es wäre angebracht, dass so mancher mal für ein paar Sekunden tief durchatmet. Am 25. Mai wird nicht die Welt untergehen.
Für alle, die für ihre private Webseite oder für ihr Kleingewerbe noch eine Datenschutzerklärung benötigen, zum Schluss noch ein Tipp: Schaut euch mal den Datenschutz-Generator von RA Dr. Schwenke an.
In diesem Sinne:
Zu Risiken und Nebenwirkungen der DSGVO fragen Sie einen Anwalt.
Ja, es ändert sich einiges und ja, das heißt, dass man seine Datenschutzerklärungen anpassen muss. Aber die Auswüchse, die das Thema angenommen hat, sind schon ein bisschen perfide. Und während die Juristen hierzulande wohl gerade so viel arbeiten wie seit Jahren nicht mehr und sich damit zum Teil auch eine goldene Nase verdienen, rennen viele Internetseitenbetreiber aus Angst etwas falsch zu machen, mit vollem Tempo in die Fallstricke, die die DSGVO mit sich bringt.
Das Tückische an der Datenschutzgrundverordnung ist, dass sie in vielen Punkten schwammig formuliert ist und niemand weiß, wie man diese Punkte in der Praxis konkret und korrekt umzusetzen hat. Viele Textpassagen sind schwierig zu verstehen und in den nächsten Jahren werden wohl erst einmal unzählige Gerichte damit beschäftigt sein, herauszustellen, was richtige und was falsche Umsetzungen der Verordnung sind.
Infolge dieser Unklarheit meint natürlich gerade jeder Jurist, es nach seiner Interpretation richtig zu machen, vollkommen ungeachtet der Tatsache, dass es der Anwalt auf der anderen Straßenseite ganz anders sieht. So sind mir in den letzten Wochen die gegensätzlichsten Datenschutzerklärungen untergekommen und bei fast allem, was man liest, hat man dennoch den Eindruck, es wäre irgendwie DSGVO-konform. Manchen, wegen der Angst vor drohenden Abmahnungen, plötzlich für das Thema Datenschutz sensiblen Webseitenbetreiber treibt das wohl in den Wahnsinn. Es fehlt schlicht die Antwort auf die Frage, was denn nun richtig und was falsch ist.
Ich will mal kurz auf die drei nervigsten DSGVO-Themen eingehen, über die ich in den letzten Monaten so diskutiert habe. Ich bin natürlich nur ein einfacher Informatiker und kein Jurist und kann daher auch nur mein gefährliches Halbwissen und meine eigenen Ansichten wiedergeben, aber ich hoffe einfach mal, dass die dennoch für den einen oder anderen Leser interessant oder wenigstens unterhaltsam sind.
Hilfe, ich muss 20 Millionen Euro Strafe zahlen!
Irgendwie hat jeder schon gehört, dass er 20 Millionen Euro oder 4% seines Jahresumsatzes zahlen muss, wenn er gegen die Datenschutzgrundverordnung verstößt. Diese Zahlen sind es, die die Panik erst so richtig angeheizt haben.So ganz richtig ist das aber nicht. In den Artikeln 83 und 84 der DSGVO sind die Sanktionen geregelt, die bei Verstößen verhängt werden können. Die strafrechtlichen Konsequenzen müssen die Mitgliedsstaaten der EU darüber hinaus in ihren eigenen Gesetzgebungen regeln. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorherigen Geschäftsjahr, je nachdem, welcher Wert höher ist.
Laut Artikel 84 DSGVO sollen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Letzteres hat man offensichtlich schon mal gut hinbekommen.
Wer nur diese Informationen verbreitet, unterschlägt dabei aber, dass in vielen Fällen gar nicht dieses Strafmaß greift, sondern die in Artikel 83 Abs. 4 genannten 2% des vorjährlichen Jahresumsatzes bzw. 10.000.000 Euro.
Zugegeben, das klingt jetzt nicht so wirklich weniger angsteinflößend, aber auch die im bisherigen Bundesdatenschutzgesetz genannten Strafen von bis zu 300.000 Euro waren ja nicht ohne. Die hatte nur irgendwie niemand auf dem Schirm.
Die DSGVO sieht vor, dass bei Verstößen Strafen verhängt werden müssen und unterscheidet sich in diesem Punkt von den alten Regelungen im Bundesdatenschutzgesetz. Die genannten Beträge sind aber Höchstsummen und wie hoch verhängte Strafen am Ende in der Realität ausfallen, ist Sache der Aufsichtsbehörden.
Natürlich muss man den Datenschutz ernst nehmen und sollte vermeiden, überhaupt Strafen zahlen zu müssen. Wenn es aber wirklich zu Strafzahlungen kommt, ist doch davon auszugehen, dass diese verhältnismäßig sein werden. Anders als die USA ist Deutschland nicht dafür bekannt, Bußgelder in Millionenhöhe zu verhängen, wenn diese weit über das Vermögen des Beschuldigten hinaus gehen. Auch wenn es manchmal schwerfällt, man sollte schon noch ein bisschen Vertrauen in den deutschen Rechtsstaat haben.
Ich lasse mir jetzt im Kontaktformular mit einer Checkbox bestätigen, dass ich die übermittelten Daten verarbeiten darf!
Nur dass ich das richtig verstehe: Man stellt ein Kontaktformular online, dass es Nutzern erlaubt, mit einem in Kontakt zu treten. Und dann baut man in das Kontaktformular einen Haken ein, mit dem man sich bestätigen lässt, dass man die übermittelten Daten nutzt, um das Anliegen des Nutzers zu bearbeiten und ihm zu antworten? Ernsthaft?Ein Verweis auf die Datenschutzerklärung – von mir aus –, aber eine Checkbox? Das ist doch Blödsinn. Wer ein Kontaktformular ausfüllt, will Kontakt. Wer mir eine Nachricht schreibt, weiß doch, warum er mir gerade eine Nachricht schreibt. Dass ich seine Nachricht verarbeiten werde, erschließt sich aus der Handlung selbst. Dafür braucht man keine Checkbox. Und viele Juristen sehen das übrigens genauso. Der IT-Fachanwalt und Podcaster Stephan Hansen-Oest nennt das Einbinden von Checkboxen in Kontaktformulare sogar "Bullshit".
Ich baue noch 100 weitere Checkboxen in meine Webseite ein und lass mir überall die Datenschutzerklärung bestätigen. Sicher ist sicher.
Auch dazu möchte ich gleich noch mal auf Herrn Rechtsanwalt Hansen-Oest verweisen, der bringt es nämlich hier ziemlich gut auf den Punkt: Wer sich seine Datenschutzerklärung explizit bestätigen lässt, macht sie zu einem Vertragsbestandteil und muss damit auch einen Widerruf mit all seinen Folgen möglich machen und Nutzer informieren, wenn es Aktualisierungen für die Datenschutzerklärung gibt und sich diese dann erneut bestätigen lassen. Das kann richtig viel Arbeit bedeuten!Wer stattdessen einfach nur darauf hinweist, dass die Datenschutzerklärung gilt, ohne sie sich bestätigen zu lassen, hat später weit weniger Ärger und Stress.
Sicher gibt es einige Sonderfälle, bei denen eine explizite Einwilligung unbedingt erforderlich ist, aber bei den meisten Datenschutzerklärungen wird das wohl eher unnötig sein. Also pflastert das Internet jetzt nicht unnötig mit Checkboxen zu, die euch auf ewig zusätzliche Vertragsbedingungen ans Bein nageln!
Diese Beispiele zeigen, wie die Panik vor der Datenschutzgrundverordnung erst dafür sorgt, dass noch mehr Probleme entstehen. Ich glaube es wäre angebracht, dass so mancher mal für ein paar Sekunden tief durchatmet. Am 25. Mai wird nicht die Welt untergehen.
Für alle, die für ihre private Webseite oder für ihr Kleingewerbe noch eine Datenschutzerklärung benötigen, zum Schluss noch ein Tipp: Schaut euch mal den Datenschutz-Generator von RA Dr. Schwenke an.
In diesem Sinne:
Zu Risiken und Nebenwirkungen der DSGVO fragen Sie einen Anwalt.
Geschnatter
4 Kommentare, selbst mitschnattern
Mirco, am 19.05.2018 um 12:02 Uhr
Nun ja, so eine Megatolle Sache ist es auf der anderen Seite auch wieder nicht. "Die Großen" werden in vielen Dingen weiter machen wie bisher.
Jaaa..."Hilfe, ich muss 20 Millionen Euro Strafe bezahlen" ist übertrieben. Aber schon 500€ Euro Strafe würden mir persönlich weh tun. Noch dazu, wenn man eine Website betreibt, an der man Null Komma Garnichts verdient.
Als Nicht-Jurist ist mir das alles zu hoch, was man beachten muss und was für Infos man nun auf seiner Seite künftig feilbieten muss. Die Fallstricke sind hierbei auch an allen Ecken und Enden vorhanden: Datenschutz-Blabla zwar vorhanden und korrekt, aber dann fährt Dir trotzdem nen Jurist an den Karren, weil es nicht sichtbar genug verlinkt ist.
Auch mit der Latte Text, den mir Dr. Schwenkes Datenschutzgenerator ausgespuckt hat, bin ich mir ehrlich gesagt nicht wirklich sicher, ob ich nicht trotzdem mal irgendwann Post bekomme "Ja, aaaaber, Sie haben ja das und das nicht erwähnt".
Mal ehrlich: Liest außer einem Juristen überhaupt irgendeiner das Datenschutz-Blabla einer Website (ich rede mal von einer Standard-Website, wie Deiner hier). Interessiert es überhaupt einen Nicht-Juristen, was da steht? Wie sinnvoll sind überhaupt schon diese "Achtung! Diese Seite verwendet Cookies! In Deckung!"-Warnungen, zu denen man verpflichtet ist?
Jaaa..."Hilfe, ich muss 20 Millionen Euro Strafe bezahlen" ist übertrieben. Aber schon 500€ Euro Strafe würden mir persönlich weh tun. Noch dazu, wenn man eine Website betreibt, an der man Null Komma Garnichts verdient.
Als Nicht-Jurist ist mir das alles zu hoch, was man beachten muss und was für Infos man nun auf seiner Seite künftig feilbieten muss. Die Fallstricke sind hierbei auch an allen Ecken und Enden vorhanden: Datenschutz-Blabla zwar vorhanden und korrekt, aber dann fährt Dir trotzdem nen Jurist an den Karren, weil es nicht sichtbar genug verlinkt ist.
Auch mit der Latte Text, den mir Dr. Schwenkes Datenschutzgenerator ausgespuckt hat, bin ich mir ehrlich gesagt nicht wirklich sicher, ob ich nicht trotzdem mal irgendwann Post bekomme "Ja, aaaaber, Sie haben ja das und das nicht erwähnt".
Mal ehrlich: Liest außer einem Juristen überhaupt irgendeiner das Datenschutz-Blabla einer Website (ich rede mal von einer Standard-Website, wie Deiner hier). Interessiert es überhaupt einen Nicht-Juristen, was da steht? Wie sinnvoll sind überhaupt schon diese "Achtung! Diese Seite verwendet Cookies! In Deckung!"-Warnungen, zu denen man verpflichtet ist?
Harald, am 20.05.2018 um 14:54 Uhr
Private Webseite wäre dann harmlos, wenn es in Deutschland keine Abmahnmafia gäbe. Aber so. Natürlich ist die Abmanung ggf. nicht gerechtfertig. Aber die Kacke hat man dann erst mal am Schuh und muss sie kostenpflichtig entfernen lassen, entweder durch einknicken oder Zahlung an den eigenen Anwalt. Wfes.
Matthias, am 21.05.2018 um 11:36 Uhr
@Mirco: Du wirst auch keine 500 Euro zahlen müssen. Viele verstehen nichjt, womit sie es hier zu tun haben. Es wird hierzu keine Abmahnwellen geben. Es können sich ausschließlich Nutzer über euer Angebot beschweren und den Landesdatenschutzbeauftragten einschalten. Und wenn ihr den ignoriert gibt es ein Bußgeld. Ich hatte mit meinem schon häufiger zu tun. Das sind zuvorkommende Leute, die einem Tips geben, wie man seine Nutzer/Kunden besser schützt. Selbst in schwerwiegenden Fällen werden nur Bußgelder verhängt, wenn man nicht reagiert.
Entspannt euch Leute, ersthaft.
Entspannt euch Leute, ersthaft.
Anonym, am 25.05.2018 um 10:58 Uhr
25.05. – und die Welt dreht sich weiter.
Es gelten die Regelungen der Datenschutzerklärung.